2 process for readdir command: ca veut dire que les entry /proc pour ces process la n'existent pas, je pense et ps, meme affaire. Ca ne sens pas bon. De plus, la verirfication est faite via /dev/kmem directement dans l'espace memeoire du kernel, ca pourrait donc etre un vrais rootkit kernel du genre adore ou je ne sais kwa.Fodrait analyser la chose de haut en bas pour en etre vraiment certain.
Si c'est pas trop complique, moi je reinstallerais. J. On Tue, Aug 17, 2004 at 06:13:39PM +0200, Alain EMPAIN wrote: > Beno?t Barbier wrote: > > >Salut la liste, > > > >Un chkrootkit me donne: > > > >--8<-- > > > >Checking `lkm'... You have 2 process hidden for readdir command > >You have 2 process hidden for ps command > >Warning: Possible LKM Trojan installed > > > > > >Est-ce que je dois m'inqui?ter ou pas? > >Comment v?rifier la pr?sence d'un mauvais module? > > > >Merci d'avance, > > > > > > > > > Et oui, cela existe... > Les ex?cutables les plus concern?s sont ceux qui devraient te servir > d'outil pour d?tecter une intrusion : ps, ls, find par exemple, dans > /bin et /sbin. > Ainsi, un 'ps' v?rol? semblera fonctionner convenablement mais ... > omettra de signaler les processus pirates, ou les directories > litigieuses (comme 'xxxx/. ', avec un espace apr?s le point) ! > > Puisque cela risque d'?tre fait, tu pourrais comparer ces ex?cutables > avec ceux qui sont fournis par la distribution (compare avec une > installation fra?che sur un PC non connect?...). Pour ma part, > imm?diatement apr?s un install, j'effectue une sauvegarde de ces /bin, > /sbin, /usr/sbin et /usr/bin afin de les avoir sous la main en cas de doute. > Tu peux utiliser un KNOPPIX pour faire des 'find' incorrptibles. > > Mais si tu as fait des upgrades (YOU sous SuSE par ex.) tu risques > d'observer des diff?rences normales au niveau des ex?cutables. > > Pour la prochaine fois, en pr?vision, tu peux utiliser tripwire par ex. > mais je trouve cela quand m?me lourd. > > Je n'ai observ? qu'une seule intrusion, sur un NAS pr?configur? > 'tout-ouvert' qui a ?t? contamin? avant que je m'en occupe -- je n'avais > pas encore eu l'autorisation d'installer un firewall -> cela m'a servi > d'argument sensible pour l'obtenir ! > > > Bonne recherche. > > Alain > > > -- > ------------------------------------------------------------ > Dr Alain EMPAIN <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> > Bioinformatics, Molecular Genetics, > Fac. Med. Vet., University of Li?ge, Belgium > Bd de Colonster, B43 B-4000 Li?ge (Sart-Tilman) > WORK: +32 4 366 3821 FAX: +32 4 366 4122 > HOME: rue des Martyrs,7 B- 4550 Nandrin > +32 85 51 23 41 GSM: +32 497 70 17 64 > -------------------------------------------------------------------------------- > "I worry about my child and the Internet all the time, even though she's > too young to have logged on yet. Here's what I worry about. I worry that > 10 or 15 years from now, she will come to me and say 'Daddy, where were > you when they took freedom of the press away from the Internet?'" > --Mike Godwin, Electronic Frontier Foundation > -------------------------------------------------------------------------------- > > _______________________________________________________ > Linux Mailing List - http://www.unixtech.be > Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux > Archives: http://www.mail-archive.com/[EMAIL PROTECTED] > IRC: chat.unixtech.be:6667 - #unixtech -- -- -> Jean-Francois Dive --> [EMAIL PROTECTED] I think that God in creating Man somewhat overestimated his ability. -- Oscar Wilde _______________________________________________________ Linux Mailing List - http://www.unixtech.be Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux Archives: http://www.mail-archive.com/[EMAIL PROTECTED] IRC: chat.unixtech.be:6667 - #unixtech